Bepaalde apps op iOS- en Huawei-apparaten worden als veilig beschouwd, maar andere apps kunnen mogelijk passief snuffelen mogelijk maken.
Kortom
- Door versleutelingsfouten in Chinese apps lopen gebruikers het risico te gaan rondsnuffelen.
- Android- en Windows-programma's hebben zwakke punten, maar iOS-apps zijn veilig.
- Sommige gebruikers vinden het misschien moeilijk om hun blootstelling aan afluisteren te beperken.
Onderzoekers hebben grote encryptiezwakheden ontdekt in de cloudgebaseerde pinyin-invoersoftware van acht bedrijven, waardoor afluisteren mogelijk zou kunnen zijn. Hoewel er geen aanwijzingen zijn dat de kwetsbaarheden regelmatig worden uitgebuit, benadrukken eerdere gebeurtenissen dit als een potentieel groot probleem.
Het Chinese schrift bevat honderden verschillende karakters die nooit op standaardtoetsenborden zouden passen, waardoor het gebruik van alternatieve invoermethoden (IME's) noodzakelijk is.
Alle blootgestelde cloudproducten maakten gebruik van pinyin-systemen, waarbij gebruikers fonetische uitspraken in het Romeinse alfabet typten en vervolgens kozen uit een lijst met gelijkwaardige symbolen.
Decennia lang hebben makers van besturingssystemen en externe ontwikkelaars Chinese IME's volledig op het apparaat verwerkt, maar cloudservices kunnen de juiste karakters wellicht beter onderscheiden.
Normaal gesproken brengt elk internettyperingshulpmiddel inherente gevaren met zich mee, maar bedrijven die cloudgebaseerde pinyin-apps aanbieden, garanderen de privacy van gebruikers door middel van encryptie.
Onderzoekers van de Universiteit van Toronto onderzochten de beveiliging van applicaties van negen bedrijven:
Deze merken waren in staat om effectief toetsaanslagen van iedereen te lezen, behalve de Huawei-tool, waardoor mogelijk elke invoer aan afluisteraars werd onthuld. Sommige fouten kunnen gegevens blootstellen aan volledig passieve pottenkijkers.
Opvallend genoeg ontdekten de onderzoekers geen zwakke punten in iOS-apps, omdat Apple de toetsenbordapplicaties van het platform automatisch in een sandbox plaatst. Om iPhone-toetsenbordapplicaties toegang te geven tot gegevens en deze over te dragen is expliciete toestemming van de gebruiker vereist.
Ondertussen werden vergelijkbare Android- en Windows-programma's veel minder veilig beoordeeld. Android-gebruikers kunnen selecteren of toetsenborden verbinding maken met internet, maar de onderzoekers ontdekten dat de juiste bedieningselementen voor bepaalde gebruikers moeilijk te vinden kunnen zijn.
Nadat de onderzoekers alle negen leveranciers op de hoogte hadden gebracht, heeft de meerderheid patches gemaakt om de problemen aan te pakken, maar er blijven zwakke punten in de codering bestaan in de applicaties van Baidu, het toetsenbord van Honor en de QQ Pinyin-service van Tencent. Bovendien noemden de onderzoekers tientallen vergelijkbare apps die ze niet konden evalueren, maar die mogelijk dezelfde tekortkomingen zouden kunnen hebben.
De onderzoekers uitten hun bezorgdheid, deels vanwege eerdere incidenten met spionage door de overheid. Volgens de studie hebben de Five Eyes – een organisatie voor het delen van inlichtingen bestaande uit de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland – soortgelijke tekortkomingen in Chinese applicaties uitgebuit om gebruikers te bespioneren.